Вот, прислали по почте какого-то зверя...

← →
Vuk (2003-09-19 13:14) [0]

Причем в двух экземплярах. Ни один антивирус не отловил...

Приметы:
Сообщение 1
-----------
От: Microsoft Network Security Division [ltwgvqigblxcluf@yhyxwsc.com]
Дата: 18.09.2003 22:51:49
Для: MS Corporation Consumer [consumer.bprqmtr@yhyxwsc.com]
Тема: Current Microsoft Pack
-----------
Далее идет текст, html вложение, 2 файла .gif и исполняемый модуль INSTALLATION27.exe

Сообщение 2
-----------
От: Mail Delivery System []
Дата: 18.09.2003 22:52:09
Для: [receiver@homedomain.com]
Тема: Bug Report
-----------
Далее идут html вложение и исполняемый модуль ftsg.exe

Исполняемый модуль в обоих случаях один и тот же, размером 106496 байт. В ресурсах содержит html код (используется при формировании сообщений), список каких-то адресов, упакованый утилитой compress и еще какие-то данные в кодировке, кажется, base64 (пока еще не смотрел, что там) и тексты:

Текст 1

System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later

Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don"t need to do anything after installing this item.

Текст 2

Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/

For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/

Thank you for using Microsoft products.

Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.

----------------------------------------------
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.

← →
MBo (2003-09-19 13:26) [1]

не I-Worm.Swen ?

← →
Reindeer Moss Eater (2003-09-19 13:30) [2]

Достаточно помнить, что MS никогда и никому не рассылает никакое ПО ни при каких обстоятельствах в аттачах писем.

← →
Игорь Шевченко (2003-09-19 13:34) [3]

> How to use: You don"t need to do anything after installing
> this item.

Это точно :)))

← →
Igorek (2003-09-19 13:35) [4]

У меня тоже такое. Где утечка емайлов?

← →
Vuk (2003-09-19 13:43) [5]

to MBo:
>не I-Worm.Swen ?
Очень похоже на него, но видимо какая-то модификация.

← →
Max Zyuzin (2003-09-19 13:44) [6]

Мой ящик забомбили уже сегодня подобными письмами... с вчерашнего вечера уже штук 20-ть пришло...

← →
Anatoly Podgoretsky (2003-09-19 13:57) [7]

Fizzer и надо быть дурным, чтобы что то окрывать.

← →
Шишкин Илья (2003-09-19 14:01) [8]

Мне вчера новость от Лабаратории Касперского пришла о эпидемии I-Worm.Swen. Описания совпадают.

← →
Anatoly Podgoretsky (2003-09-19 14:03) [9]

Vuk © (19.09.03 13:14)
Кстати у меня отловил, ради интереса попробовал. У меня McAfee

← →
Vuk (2003-09-19 14:07) [10]

to Anatoly Podgoretsky:
У нас NAV корпоративный. Может еще обновление не добралось...

← →
Nickola2 (2003-09-19 14:38) [11]

на мой комп недавно поймали I-Worm (я в это время был в отпуске), сисадмин ничего не смог сделать и отформатировал жесткий диск на моём компе.

← →
VH (2003-09-19 14:43) [12]

> Vuk

У меня вчера корпоратив обновлялся.
Все время че-то "лечит", убивает всякие dll у юзеров, а от чего лечит - молчит, или я смотрю не туда.

> Igorek

Адреса без проблем уходят "налево", особенно с mail.ru и mailru.com, смирись...

← →
Ketmar (2003-09-19 14:45) [13]

>Nickola2 © (19.09.03 14:38) [11]
ты после этого сисадмина не отформатировал? а зря.

← →
Reindeer Moss Eater (2003-09-19 14:46) [14]

Антивирусы - для трУсов :)

← →
Nickola2 (2003-09-19 14:50) [15]

Ketmar © (19.09.03 14:45) [13]

Почему же, отформатировал, слегка, теперь ходит на меня обижается

Reindeer Moss Eater © (19.09.03 14:46) [14]

Ню-ню, поймаешь какую-нибудь дрянь на копм, потеряешь ценную информацию, тогда по-другому запоёшь

← →
han_malign (2003-09-19 14:54) [16]

Puppy? :)))

← →
Думкин (2003-09-19 17:01) [17]

У меня где-то в 14-00 по Москве рухнуло. Хотя и писем не получал. По внутренней сети видимо.... блин, экономят на сисадмине - жмоты.

← →
vuk (2003-09-19 19:27) [18]

Приехало обновление на NAV. Того зверя, что у меня обнаружился там обозвали Worm.Automat.AHB

← →
Burmistroff (2003-09-19 19:35) [19]

А что делать порядочным людям, которые получают по 30-60 писем в день от mail серверов (mx.ya.com, t0uch.slovenska.sk, ...) типа "Failure notice", возвращаем вам ваше письмо? Каждое письмо ~ 100kb, с вирусом :(

← →
vuk (2003-09-19 19:37) [20]

Антивирус ставить. :o)

← →
Anatoly Podgoretsky (2003-09-19 21:39) [21]

Vuk © (19.09.03 14:07) [10]
Поверишь если скажу, что в локальной сетке, за три года были заражены только два компьютера, контингент женщины.
Антивирус не всегда опознает.

← →
Vuk (2003-09-19 22:01) [22]

to Anatoly Podgoretsky:
>Поверишь если скажу
Поверю. :o) У нас случаи заражения тоже единичны, и причины, в основном, примерно те же. Но по большей части от вирусов до рабочих мест, как в том анекдоте, "только уши доезжают".

P.S. Есди кто подумал, что у нас тут что-то заразилось этим вирусом, то спешу разочаровать. :o)

← →
Lola (2003-09-19 22:13) [23]

> Anatoly Podgoretsky © (19.09.03 21:39) [21]

Ага, женщины по порносайтам не шастают, глупые игрушки-флешки с троянами не запускают :))))

← →
otido (2003-09-19 22:18) [24]

угу.. они только рекламные письма открывают))) со всякими письмами "супердиета" в которых уже эти аттачи по 63 и выше Кб кишмя кишат)))

← →
vuk (2003-09-19 22:19) [25]

to Lola:
Понимаете, игрушки здесь зачастую ни при чем. У нас, например, с клиентами работают, в основном, женщины. А от клиентов нет-нет да и придет какая-нибудь бяка по почте. Иной раз умудряются все же вложение запустить. :o(

← →
Anatoly Podgoretsky (2003-09-19 22:40) [26]

Ну моим тех двух заражений хватило.

Lola © (19.09.03 22:13) [23]
А женщины у нас тоже не против в игры поиграть, но я все изничтожил :-) Прям на сервере, а то предыдущий админ зоопарк развел.

← →
Ihor Osov'yak (2003-09-19 22:54) [27]

Писем сегодня уже десятка четыре было.. Что-то не помню, чтобы такой шквал когда-либо был..

Кто-то с моих респондентов неразборчив..

← →
Anatoly Podgoretsky (2003-09-19 23:10) [28]

Ну я уже несколько сотен домой получил.
Видимо адрес очень популярен :-(
Но не мешают, сразу сваливаются в помойку, а там сразу удаляются.

← →
Ihor Osov'yak (2003-09-19 23:25) [29]

Да.. Представляю, чтобы на дайлапе было.. Наверное телнетовское детство вспоминать бы пришлось, да и в буку по РОР3 взглянуть ...

← →
Anatoly Podgoretsky (2003-09-19 23:28) [30]

Да просто удалил бы на сервере, а на хорошем канале быстрее скачать, так как и фильмы, легче скачать, чем разбирать нужно ли оно. Клавиша Делете великолепно работает.

← →
Ihor Osov'yak (2003-09-19 23:33) [31]

так я и сейчас тоже на место тягну.. А вот год назад пришлось телнетом ящик га сервере разгребать - кто-то из нечего делать немного в бомбиста играл.. Тогда еще я на дайлепе был.. А все грохнуть нельзя было - ожидал важного письма..

← →
SergP (2003-09-20 03:43) [32]

А я вот позавчера получил нечто, причем типа с адреса admin@hay.kw.ukrtel.net. Там был вложеный zip архив. Я сдуру и открыл его при выключеном AVP-мониторе... Так это "нечто" Установило мне какуюто фигню с GUID 11111111-1111-1111-1111-111111111111, засунуло в c:\windows файл videodriver.exe (фантазия же у кого-то) и прописало его в реестр в автозагрузку.
Каспер потом сказал что эта фигня называется Trojan.Dropper.JS.Mimail.b, однако в файле videodriver.exe он ничего не обнаружил. Так что пришлось вручную чистить реестр и удалять файлы, не обнаруженые AVP.

Вот, прислали по почте какого-то зверя... Найти похожие ветки